Hallo,
ich habe XP SP1 und einen DSL-Router mit fest integrierter, recht fähiger FW (SPI ect.)

Heute bekam ich beim Surfen plötzlich eine Windows-Meldung über ein ausgeführtes Java-Script und der Spyware acpStelth.cih. Ich wunderte mich noch über die Meldung, weil sie nicht von meiner Hardware-FW oder Virenscanner kam, sondern von Windows (so große Sicherheitsfortschritte von Bill !?). Als erstes habe ich dann den Cache gelöscht. Da ich JavaScript bei meinem Mozilla 1.6 tatsächlich aktiviert hatte und wenig später die Meldung "Neue Programme gefunden" kam, war ich überzeugt, mir tatsächlich irgendeine Spyware eingefangen zu haben.

Allerdings findet weder Spybot, noch der Virenscanner noch das gute Hundchen irgendwas. Die Ereignisanzeige zeigt auch nichts Auffälliges. Registry auch nicht.

Google bringt nur einen einzigen interessanten Treffer aus einem englischen Forum, in dem es heisst, das sei nur ein Java-Script-Popup, das einem bei Klick auf O.K. (was ich nicht tat) im weiteren dann zum Download eines Programmes zur Beseitigung überreden wolle.

Aber wie kommt dann die Meldung über neu installierte Programme zustande?
Ich habe zwar gestern SmartFTP installiert, aber warum sollte diese Sache heute nochmal und ausgerechnet während des Surfens, genau zum Zeitpunkt der Spyware-Meldung erscheinen?

Was meint ihr?

Lade dir HijackThis runter
http://www.trojaner-board.de/51130-a...ijackthis.html

und poste das log hier

Was ist denn das für ein Programm? Noch schlauer als Spybot?

Das Programm zeigt welche Prozesse laufen und welche prozesse beim systemstart geladen werden, sowie andere für uns hilfreiche dinge, wie z.B. die Version des Betriebssystems.

Hat ein wenig gedauert...
Ich habe das logfile vor ca. 30 Minuten erstellt.
Offenbar sind das unter "01" Sexseiten, ich war aber schon einige Zeit mehr auf keiner, ehrlich.
Ich habe XP SP1 und alle wichtigen Patches immer regelmäßig installiert. An Störungen habe ich die ganze Woche seit meinem ersten Posting nichts gemerkt. Allerdings ist über meinem Freemailer offenbar eine E-Mail verschickt worden, die ich definitv nicht verschickt habe, im Anhang eine octet-stream.

Logfile of HijackThis v1.98.2
Scan saved at 12:40:39, on 01.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Nhksrv.exe
C:\Programme\AntiVirenKit professional\AVKService.exe
C:\Programme\AntiVirenKit professional\AVKWCtl.exe
C:\WINDOWS\System32\hkcmd.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\mozilla16.org\Mozilla16\Mozilla.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\phase5\htmledit.exe
C:\Programme\LeechGet 2004\LeechGet.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Download\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/d...en/default.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/d...en/default.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries/d...en/default.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.runsearch.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.symantec.com/techsupp/oem
O1 - Hosts: 65.77.83.222 madthumbs.com
O1 - Hosts: 65.77.83.222 worldsex.com
O1 - Hosts: 65.77.83.222 teeniefiles.com
O1 - Hosts: 65.77.83.222 sublimedirectory.com
O1 - Hosts: 65.77.83.222 thumbzilla.com
O1 - Hosts: 65.77.83.222 sexocean.com
O1 - Hosts: 65.77.83.222 easypic.com
O1 - Hosts: 65.77.83.222 absolut-series.com
O1 - Hosts: 65.77.83.222 jpeg4free.com
O1 - Hosts: 65.77.83.222 thumbnailpost.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\mozilla16.org\Mozilla16\Mozilla.exe" -turbo
O4 - Global Startup: cleanup.lnk = C:\cleanup.cmd
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O13 - DefaultPrefix:
O13 - WWW Prefix:
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095676347796

Hallo, Martin,
folgendes im abgesicherten Modus fixen:
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.runsearch.com/search.html
O1 - Hosts: 65.77.83.222 madthumbs.com
O1 - Hosts: 65.77.83.222 worldsex.com
O1 - Hosts: 65.77.83.222 teeniefiles.com
O1 - Hosts: 65.77.83.222 sublimedirectory.com
O1 - Hosts: 65.77.83.222 thumbzilla.com
O1 - Hosts: 65.77.83.222 sexocean.com
O1 - Hosts: 65.77.83.222 easypic.com
O1 - Hosts: 65.77.83.222 absolut-series.com
O1 - Hosts: 65.77.83.222 jpeg4free.com
O1 - Hosts: 65.77.83.222 thumbnailpost.com
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O13 - DefaultPrefix:
O13 - WWW Prefix

Folgende Datei manuell löschen:
C:\WINDOWS\web\related.htm

Weiterhin empfehle ich, ebenfalls im abgesicherten Modus einen eScan durchzuführen. Lies Dir den Link genau durch!
Weiterhin solltest Du Dein System updaten, incl. IE (wenn du ihn denn schon benutzt).
Anschließend neues Logfile posten und für die Zukunft das Surfverhalten ein bißchen überdenken.
cacatoa

Hallo cacatoa,

du sagst, ich soll das Genannte fixen, aber wie? Im abgesicherten Modus hochfahren und dann? Nur die eine Datei manuell löschen?

Den IE hatte ich übrigens bei der Sache gar nicht benutzt und jetzt soll es der sein, der betroffen ist?

Was genau habe ich mir denn eingefangen? Was sind diese R1 und 01-Angaben? lsass.exe ist ein Virus?

Danke,

Hallo, Martin, ganz unruhig bleiben!
Wenn Du mit HijackThis gescannt hast, dann kannst Du vor die Prozesse(R1, O1), die ich Dir geschrieben habe, ein Häkchen machen. Das tust Du. Dann clickst Du auf "Fix checked" und schon sind sie weg. Im Anschluß löschst Du manuell die Datei, die ich Dir gepostet habe.
Und Dein lsass ist kein Virus, sondern gehört zu Deinem System.
Zu Deinem IE; er ist nicht gepatcht, sonst nichts.
Dann neues Log posten.
Grüße cacatoa

So, ne Meditation später...

Das mit dem abgesicherten Modus habe ich vergessen. Schlimm?

Aber was war denn das nun, hatte das überhaupt irgendwas mit der von mir geschilderten Sache zu tun (JavaScript, Spyware acpStelth.cih)? Wie gesagt, den IE hatte ich da gar nicht benutzt.

Die Datei war übrigens noch nicht mal 1 KB groß.

Der IE ist nicht gepatcht? Habe ich doch immer gemacht!? Was genau fehlt denn da?

So sieht es jetzt aus:
Logfile of HijackThis v1.98.2
Scan saved at 20:00:05, on 01.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Nhksrv.exe
C:\Programme\AntiVirenKit professional\AVKService.exe
C:\Programme\AntiVirenKit professional\AVKWCtl.exe
C:\WINDOWS\System32\hkcmd.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\phase5\htmledit.exe
C:\Programme\WebWasher\wwasher.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\MOZILL~1.ORG\MOZILL~1\Mozilla.exe
C:\Programme\Microsoft Works\msworks.exe
C:\Programme\Microsoft Works\wkgdcach.exe
C:\Programme\Microsoft Works\wkswp.exe
C:\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/d...en/default.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/d...en/default.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries/d...en/default.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.symantec.com/techsupp/oem
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\mozilla16.org\Mozilla16\Mozilla.exe" -turbo
O4 - Global Startup: cleanup.lnk = C:\cleanup.cmd
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095676347796

Spyware acpStelth.cih kommt von einer Deiner O1-er Seiten. Sitzt auf port 443.
Hier mal einen Selbsttest durchführen.
Dein Logfile ist jetzt o.k.
cacatoa

Gute Idee, mal so einen Sicherheitscheck zu machen, bei Schritt 1 und 2 ist alles o.k.
Jetzt bin ich beim PortScan, wo er meine FW erkannt hat und jetzt arbeitet er schon ne ganze Weile (ich ließ alle Ports scannen). Bisher noch keine Meldung. Der Speedmanager zeigt so im 2-Sekundentakt 1 KB-Downloads an. Wenn das jeweils ein Port ist, dann würde das ca. 1,5 Tage dauern...

Was mache ich, wenn das in 2 Stunden noch immer nicht fertig ist?

Laufen lassen, wenn Du willst. Über port 443 ist er sicher schon weg. Kannst aber auch beenden, wenn es Dir zu lange dauert und ein anderes Mal laufen lassen.
cacatoa

Was genau ist denn Port 443?